William Martínez Pomares | wmartinez@avantica.net

Debilidad en seguridad bancaria

Arquitecto de Sistemas

Concuerdo con don Roberto Sasso en su comentario sobre los “palos de ciego” que están dando los bancos para asegurar nuestro capital. Discrepo, eso sí, de la tendencia actual y generalizada de “fortalecer” la contraseña con dispositivos complejos.

Se dice que el problema es la debilidad de la contraseña ( password ) que usan las personas para ingresar en los sistemas. El sistema cumple con lo suyo: si la contraseña está correcta, deja al usuario hacer lo que necesita. La idea es entonces complicar la contraseña para que no pueda ser “adivinada”. Pero el problema no está ahí, sino en el usuario que, inocente o negligente, no tiene cuidado y permite que otros obtengan su contraseña.

	Imprimir		Recomendar
	Disminuir		Aumentar

Cuando la contraseña es compleja, se tiende a usar la misma para todos los sitios, sean estos seguros o no. Esto acarrea mayor peligro. Es como crear una llave maestra de todas mis cerraduras y dejarla por ahí. Y esto es inducido por esas políticas.

Riesgo elevado. En teoría de seguridad, se sabe que la contraseña es una de las medidas más débiles de autenticación: el banco requiere saber quién es la persona, le pide su cédula y le pregunta por una palabra que “supuestamente” solo la persona conoce. Basarse en ese supuesto para dar acceso a dinero es bastante arriesgado. ¿Porqué no mejorar el método de autenticación?

Una manera de lograr autenticación es usando certificados: “sellos” digitales emitidos por una entidad certificadora que dan fe de que dicha persona es quien dice ser. Con ese “sello”, todo mensaje es cifrado y si el banco logra descifrarlo, entonces es porque procede del legítimo dueño. Si, además de eso, para usar el sello se pide al usuario una palabra de paso, tenemos autenticación de dos fases. Estos certificados son necesarios para las firmas digitales, base de las facturas electrónicas y parte de la iniciativa del gobierno digital. En este caso, la entidad certificadora sería el Banco Central. Actualmente, los bancos tienen su sello propio, solo es cuestión de crear certificados para los clientes (como cédulas digitales) y que la autenticación sea de dos vías.

Ahora, hay muchos tipos de ataques. Uno de los más fuertes es el del “Intermediario” ( Man-in-the-Middle ). En este, un servidor malévolo asume la cara del banco y el usuario realiza sus operaciones con él, engañado. Este servidor se comunica a la vez con el banco y repite toda operación que el cliente realiza. Al final, toda interacción del cliente y toda respuesta del banco es duplicada, ninguno de los dos se da cuenta del engaño. El intermediario tiene ahora suficiente información para simular ser el cliente.

Educación indispensable. Las tácticas descritas en varios artículos tienen sus puntos débiles, como en todo. Por ejemplo, la de la imágenes (conocida como SiteKey y desarrollada para Bank Of America), se ha demostrado que es susceptible a ataques “Intermediario” (http://cr-labs.com/publications/SiteKey-20060718.pdf). La lista de claves, incluso la tarjeta personal de números, pueden ser víctimas de este ataque. El usuario debe educarse en seguridad.

Actualmente, hay muchos dispositivos electrónicos que permiten a la gente administrar su seguridad. Algunas se parecen a las muy conocidas llaves “maya”, pero son mucho más inteligentes: permiten guardar certificados, generar contraseñas complejas, e incluso generar las “claves por tiempo”. Y estas llavecitas no pueden usarse si no se aplica una clave que solo el usuario conoce.

Se sugiere a los bancos escuchar a sus expertos en seguridad web. Si no los tienen, debieran contratarlos. A los usuarios, seguir los consejos de los expertos y tener mucho cuidado.